Windows Event Log 설정

상단이 Windows Ver.5(2000, XP, 2003 등)의 이벤트로그 설정, 하단이 Windows Ver.6(Vista, 7, 2008 등)의 이벤트로그 설정이며, 보는바와 같이 Ver.6 에서는 날짜 기준 덮어쓰기 설정이 제거되고 "로그가 꽉 차면 로그 보관" 항목이 새롭게 추가되었으며, "필요한 경우 덮어쓰기" 옵션에 '(가장 오래된 이벤트 먼저)' 라는 문구가 추가되었다.

우선 Ver.5에서 '(가장 오래된 이벤트 먼저)' 라는 문구가 없지만 동일하게 동작하는지 확인해보았다.

위쪽이 before, 아래쪽이 after이며, 우선 테스트를 용이하게 하기 위하여 로그 size는 64KB로 설정 하였으며 위와 같이 오래된 이벤트부터 순차적으로 덮어쓰기 되는 것이 확인되었다.

이벤트로그의 경우 Windows 침해사고조사/포렌식에서 중요하게 작용하는 만큼 덮어쓰기 옵션은 증거 손실의 우려가 있는 바 최대한 로그를 유지할 수 있는 설정이 필요하다.

Ver.5의 경우 덮어쓰거나/더 이상 저장하지 않거나 두가지의 선택지밖에 없기 때문에 현재 Ver.6의 양호 판단 기준처럼 로그 sizes를 좀 더 높게 설정하고 오래된 항목부터 덮어쓰기 설정을 하도록 권고하는 것이 좋을 것으로 판단된다.

(날짜 기준 덮어쓰기 옵션의 경우 테스트 결과 해당 날짜가 지나지 않은 상태에서 size가 full이 되는 경우 더 이상 새로운 이벤트 로그를 저장하지 않는 것으로 확인되었다.)

Ver.6의 경우 새롭게 추가된 "로그가 꽉 차면 로그 보관" 옵션을 설정하여 모든 이벤트 로그를 유지할 수 있도록 설정하도록 권고하는 것이 좋을 것으로 판단된다.

"로그가 꽉 차면 로그 보관" 옵션 테스트 내용은 아래와 같다.

일단 테스트를 용이하게 하기 위해 Ver.5와 마찬가지로 로그 size를 최소화하고 아래와 같은 보안 로그 발생기 batch를 간단히 제작하여 결과를 확인해보았다.

@echo off :loop net user a /add net user b /add net user c /add net user a /del net user b /del net user c /del goto loop

3개의 계정을 생성/삭제를 반복하며, 빠른 속도로 보안 로그를 발생시키는 batch이고 동작은 약 10초 가량 시켰으며,  Ver.6에서 이벤트 로그가 저장되는 "C:\Windows\System32\winevt\Logs" 디렉토리를 확인해보면 아래와 같은 결과가 도출되었다.

위와 같이  Archive-(이벤트 로그 종류)-날짜/시간.evtx 파일로 백업되는 것으로 확인 되었으며, 시간의 경우 UTC time이 적용되어 실제 백업시간은 백업 로그명에 기록된 시간에 +9를 해주어야한다.

(파일 수정 날짜를 보면 쉽게 이해가 된다.)

(참고로 이벤트 로그는 설정 size 만큼 로그파일에 바로 할당하기 때문에 현재 Security 로그도 백업된 파일 크기와 같은 1,028KB임. 최초의 경우 잔여 공간은 빈 값이며 full이 되는 경우,옵션에 따라 오래된 항목부터 덮어쓴다.)

따라서 Ver.6의 경우 "로그가 꽉 차면 로그 보관" 으로 설정하는 것이 최선으로 판단된다.